Les pirates utilisent une nouvelle technique pour diffuser le malware AsyncRAT

Le mois de septembre 2021 a vu naître une campagne de malware. Dans le cadre de celle-ci, une nouvelle attaque de phishing complexe a délivré le cheval de Troie AsyncRAT. Ce logiciel malveillant est un cheval de Troie d’accès à distance. Les auteurs de la cyberattaque l’ont diffusé par le biais d’une simple tactique d’hameçonnage par e-mail avec une pièce jointe HTML.

Malware infection

Michel Dereviashkin, chercheur en sécurité à la société Morphisec, spécialisée dans la prévention des failles informatiques dans les entreprises, a donné son avis sur l’attaque. Il a expliqué que le logiciel est conçu pour surveiller et contrôler à distance les ordinateurs infectés par le biais d’une connexion sécurisée et cryptée.

La fonction des RAT tels qu’AsyncRAT est généralement de créer un lien à distance entre le pirate et l’appareil de la victime. Tout cela dans le but de voler des données personnelles, ou d’espionner l’utilisateur par l’intermédiaire de caméras et de microphones.

Un vrai Cheval de Troie

D’après Morphisec, le logiciel malveillant est passé pratiquement inaperçu par la plupart des moteurs antimalware. En effet, l’efficacité de ce camouflage est expliquée par les tactiques avancées de la campagne. Cela reste inquiétant, car l’opération a persisté durant près de cinq mois.

Les intrusions débutent par un mail contenant une pièce jointe HTML maquillée en reçu de confirmation de commande. Après l’ouverture du fichier falsifié, le destinataire est redirigé vers une page web, l’invitant à télécharger un fichier ISO.

La dernière campagne RAT a utilisé Java Script d’une manière particulièrement adroite en créant localement le fichier ISO à partir d’une chaîne encodée en Base64 et en imitant le processus de téléchargement. Ce processus est différent des autres attaques plus classiques qui redirigent la victime vers un domaine de phishing apparent pour télécharger le malware.

« Le téléchargement du fichier ISO n’est pas généré à partir d’un serveur distant, mais à l’intérieur du navigateur de la victime par un code JavaScript intégré au fichier HTML de réception. »

Dereviashkin

Un processus d’infection évolué

Après l’ouverture du fichier ISO, le virus est monté automatiquement en tant que lecteur de DVD sur l’hôte Windows comprenant un fichier .BAT ou .VBS. Le fichier poursuit la chaîne d’infections pour récupérer un composant nécessaire à l’étape suivante par l’intermédiaire de l’exécution d’une commande PowerShell.

Finalement, un module .NET est exécuté en mémoire, servant de dropper pour trois fichiers. Le premier sert à déclencher le suivant pour délivrer AsyncRAT comme produit fini. Précisons d’ailleurs qu’au cours du processus, la présence d’un logiciel antivirus est vérifiée et Windows Defender est configuré pour éliminer toute possibilité de suppression du virus.

SOURCE : THEHACKERNEWS

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.